CCleaner enthielt Malware

CCleaner (Bild: Avast)

Das beliebte Windows-Optimierungsprogramm CCleaner wurde eine zeitlang vom Herstellerserver in einer mit Malware verseuchten Version zum Download anbetroffen. Nun gibt es ein Update. Betroffene müssen umfangreiche Sicherheitsmaßnahmen ergreifen.

Die 32-Bit-Variante des CCleaner v5.33.6162 und der CCleaner Cloud Version 1.07.3191 wurde mit Malware versucht und über die Server des Herstellers signiert zum Download angeboten. Das hat Avast in einem Blogbeitrag zugegeben. Die verseuchten CCleaner-Versionen wurde vor gut einem Monat veröffentlicht.

Aufgrund weiterer Analysen stellte der Hersteller fest, dass die Programmdateien modifiziert wurden. Das Unternehmen hat zudem umgehend die Behörden eingeschaltet. Außerdem wurde die Gefahr für Nutzer der infizierten Versionen dadurch reduziert, dass der Server, an den die Daten gesendet wurden, abgeschaltet werden konnte. Weitere potenzielle Ziel-Server seien ebenfalls der Kontrolle der Hacker entzogen worden. Nach dem aktuellen Stand der Untersuchungen habe der Gefahr begegnet werden könne, bevor Nutzer irgendwelchen Schaden erlitten haben, so Yung weiter.

Hacker haben CCleaner mit Malware verseucht (Screenshot: ZDNet.de)

Hacker haben CCleaner mit Malware verseucht (Screenshot: ZDNet.de)

Laut Hersteller haben die Angreifer Änderungen an der Binär-Datei CCleaner.exe vorgenommen und dadurch eine zweistufige Backdoor eingeschleust, die dazu genutzt werden sollte, Code auszuführen, der von einer externen IP-Adresse angefordert wurde. Der verdächtige Code sei im Initialisierungs-Code der CRT (Common Runtime) verborgen gewesen, der üblicherweise bei der Kompilierung durch den Compiler hinzugefügt wird.

Dadurch wurden zahlreiche Informationen über den infizierten Rechner gesammelt, darunter dessen Name, die Liste der installierten Programme und Windows-Updates, die Liste der laufenden Prozesse, MAC-Adressen sowie die Information, ob der Rechner mit Administratonsrechten läuft und ob es ein 64-Bit-Sytem ist.

Auf Spekulationen darüber, wie der Code in die eigene Software gelangen konnte, wie dabei vorgegangen wurde und wer dahinterstecken könnte, will sich Yung zum gegenwärtigen Zeitpunkt nicht äußern. Er verweist auf die noch laufende Ermittlung. Daran sind neben den Behörden auch die Experten des Avast Threat Labs beteiligt. Sicherheitsanbieter Avast hatte Piriform im Juli 2017 übernommen.

Nach Angaben von Piriform wurde CCleaner bislang über zwei Milliarden mal heruntergeladen. Die fehlerbereinigte Version 5.34 und höher steht bereits zum Download bereit. Nutzer von CCleaner Cloud Version 1.07.3191 haben bereits ein automatisches Update erhalten.

Wie das Cisco Talos-Team in einem Blogbeitrag berichtet, sollten Anwender ein Rollback des Rechners durchführen. Besser wäre eine vollständige Neuinstallation.

Tags :Quellen:Mit Material von Peter Marwan, silicon.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising